360浏览器.doc

360监控用户安装软件并劫持百度搜索引擎
瑞星第三方独立研究报告(二)
360公司称:360安全浏览器体积小巧、速度快、极少崩溃,并拥有翻译、截图、鼠标手势、广告过滤等几十种实用功能,已成为广大网民上网的优先选择。
但是瑞星研发部门通过对360“安全”浏览()进行技术分析,发现存在以下2类“特殊”行为:
一:使用黑名单监控用户电脑中竞争对手产品及网吧管理软件。
目前发现被监控的软件包括:IE, 搜狗浏览器,遨游,TT浏览器,火狐,Chrome,世界之窗浏览器共7种竞争对手产品。
二:监控百度、GOOGLE(谷歌)搜索引擎的用户使用并诱导分流。
通过分析我们发现360监控用户使用百度和GOOGLE(谷歌)搜索引擎时插入广告,这是典型的劫持搜索引擎行为。
,充值卡、网银相关的劫持URL有108 个。点卡相关的劫持URL有76个。
注: “什么是搜索引擎劫持?”人民问答解释:搜索引擎劫持是指未经用户授权,自动修改第三方搜索引擎结果的软件。通常这类程序会在第三方搜索引擎的结果中添加自己的广告或加入网站链接获取流量等。(出处人民网)
一、使用黑名单监控用户电脑中竞争对手产品及网吧管理软件
在安装360“安全”浏览器时()安装程序会监控收集用户电脑上的浏览品竞争产品信息,并上传至今360的“云服务”器上。URL为 seupdate./
上传的信息包括:用户的身份ID及使用产品信息
监控竞争产品包括:
IE浏览器出品公司:微软
搜狗浏览器出品公司:搜狐
遨游出品公司:遨游
遨游2 出品公司:遨游
TT浏览器出品公司:腾讯
火狐出品公司:谋智网络
Chrome 出品公司:GOOGLE(谷歌)
世界之窗浏览器出品公司:凤凰工作室
同时监控用户是否是在网吧环境(检测是否安装以下常用的网吧管理软件:PubwinClient,wx2004Clt,i8desk,EYOOCLIENTSTATUS,STVDISKX,iCafe8,XunShanPro)。
以下为上传信息时的抓包截图:
URL:

判断用户是否在网吧环境代码截图:
二、监控百度、GOOGLE(谷歌)搜索引擎的用户使用并诱导分流(劫持搜索引擎)
当用户使用360“安全”浏览器进行百度搜索时,360会监控用户输入的关键字并与“云服务端”更新下载来的监控关键字进行比对,一旦发现用户输入的为监控关键字就按照“云服务端”下载的配置指令文件进行操作(在正常的百度界面中弹出360的插入广告)。
如图:用户搜索“搜狐点卡”时提示特价点卡!
如图:用户搜索“充手机”
配置指令文件。
内容如下:
[main]
ver=
url= http://se./v3/download/addon/pluginbar/
然后根据配置文件指定的下载地址,下载一个纯资源的DLL。
,这个INI文件就是流量劫持用的配置文件。
,充值、网银相关的URL有108 个。点卡相关的URL有76个。
360浏览器每次启动时,都会从http://se./v3/download/addon/plugi